Wenn Sie glauben, dass Hacker mit einer Sturmmaske vorm Bildschirm sitzen, um arglose Opfer für ihre Attacken zu suchen, dann liegt das vor allem an den Medien, die dieses Bild geprägt haben, weil es Aufmerksamkeit erregt.

Die Wahrheit sieht anders aus. Zum einen – das mit den Sturmhauben stimmt so nicht. Zum anderen sind Hacker nicht immer ‚die Bösen‘ (wie Sie wissen, verfügen auch wir über Sicherheits-Experten, die Hacker-Angriffe simulieren, um Ihnen die Schwachstellen in Ihrer IT aufzuzeigen).

Im letzten Newsletter haben Sie alles zum klassischen Prüfmodul ‚Computer Based Social Engineering‘ erfahren. Heute möchten wir Sie über das (noch viel spannendere Thema) ‚Human Based Social Engineering‘ informieren. Bei dieser Art des Angriffs geht es darum, physische Sicherheitsvorkehrungen vor Ort im Zusammenspiel mit den Mitarbeitern zu überprüfen.

 

‚Human Based‘ in der Praxis

Kürzlich wurden wir beauftragt, an einem beliebigen PC im Unternehmen einen Keylogger zu platzieren. Ein Keylogger ist eine Hard- oder Software, die verwendet wird, um die Eingaben des Benutzers an einem Computer mit zu protokollieren, dadurch zu überwachen oder zu rekonstruieren.

Unser Sicherheitsexperte kundschaftete also zunächst das gesamte Unternehmen aus, wie es ein Hacker auch tun würde, online und vor Ort: Wie groß und anonym ist das Unternehmen? Wie sind die Betriebszeiten? Welche Zugänge gibt es? Wo ist welche Abteilung? Welche Sicherheitsmaßnahmen gibt es? Gibt es einen Empfang? Sicherheitspersonal? Und gibt es Schichtwechsel? Wen kann ich als Referenz nennen? usw.

Auch fingierte Telefonanrufe bei Mitarbeitern sind Teil der Informationsbeschaffung und damit Teil des Tests. Angriffsziel ist hier gerne die Zentrale, die man bittet sich zu den Ansprechpartnern durchstellen zu lassen. Öffentlich zugängliche Informationsquellen wie XING, LinkedIn oder auch Social Media bieten dem Hacker das nötige Hintergrundwissen über Funktion und Bekanntschaften, um am Telefon glaubwürdig herüber zu kommen.

Bereits einige Male gelang es unseren Mitarbeitern, sich anhand einer gefälschten Identität am Empfang vorbei zu schmuggeln. Die Tarnmöglichkeiten sind hier vielseitig, da selbst in mittelständischen Firmen ständig Dienstleister ein- und ausgehen – sei es der Telekommunikations- oder IT-Techniker oder auch die betreuende Drucker-Firma.

Dieses Mal jedoch fiel seine Wahl auf das Rauchereck – ein beliebter Prüfpunkt. Hier gesellte sich unser ‚Spion‘ dazu, rauchte eine Zigarette mit und ging mit dem Erstbesten, der die Tür öffnet, ins Gebäude hinein.

Notiz: Solche Raucher-Treffs stellen speziell in großen Unternehmen ein Problem dar – die hohe Mitarbeiteranzahl sorgt für hohe Anonymität. Unsere Security Consultants erleben auch häufig, dass solche Zugänge während der Bürozeiten frei zugänglich sind. Entweder, weil sie von vornherein nicht verschlossen sind oder aus Bequemlichkeit ein Keil die Tür geöffnet hält.

Kaum ins Gebäude gelangt, kann mit der Arbeit begonnen werden. Dabei wird jede Schwachstelle notiert und bewertet, jedoch ohne Abteilungen oder Namen zu nennen. Unser Ergebnisbericht bleibt absolut anonym und soll der Führungsebene lediglich die Wahrscheinlichkeit eines solchen Angriffes aufzeigen.

 

Gerne bieten wir Ihnen Maßnahmen wie den 10-Punkte-Plan an, eine Art Leitfaden oder Awareness-Training. Es gibt viele Ansätze zur Verbesserung der Informationssicherheit. Welche zu Ihren Bedürfnissen passen, erfahren Sie im Zuge der Beratung. Kontaktieren Sie uns unter 0800 4883 338.